Divendres passat, 12 de juliol de 2024, es va publicar al Diari Oficial de la Unió Europea (DOUE) el Reglament d’Intel·ligència Artificial (“RIA”) pel qual es regula per primera vegada l’ús de la Intel·ligència Artificial (“IA ”) a la Unió Europea (“UE”), establint un nou marc jurídic amb obligacions per a tots els operadors de sistemes d’IA.
El RIA estableix un marc d’aplicació que engloba totes aquelles organitzacions establertes a la UE i, fins i tot, aquelles que –no estant establertes a la UE– utilitzin sistemes d’IA al mercat comunitari.
Es considera “Sistema d’IA” aquell sistema basat en màquines per funcionar amb diferents nivells d’autonomia i amb capacitat d’adaptació després de la comercialització que, a partir de la informació que rep, és capaç de generar informació, com ara continguts, prediccions, recomanacions o decisions que poden influir en entorns físics o virtuals.
El RIA parteix d’un enfocament basat en el risc a partir de l’afectació que els diferents sistemes d’IA puguin implicar per als drets fonamentals i les llibertats en el marc de la UE. Així, es defineixen diferents nivells de risc:
- “Risc Inadmissible”: Conjunt limitat d’usos especialment nocius de la IA contraris als valors de la UE i que s’entenen prohibits (tret de situacions molt excepcionals). Ens referim, entre d’altres, a sistemes caracteritzats per manipular cognitivament el comportament de les persones, avaluar o puntuar socialment o identificar subjectes en temps real i en espais públics a partir de dades biomètriques.
- “Alt Risc”: Sistemes d’IA que poden tenir un impacte potencialment negatiu en la seguretat de les persones o els seus drets fonamentals i que, en conseqüència, han de ser objecte d’una regulació estricta. Estem parlant de sistemes que operin en productes coberts per la legislació europea harmonitzada i que estiguin subjectes a avaluació de conformitat per part d’un organisme independent i d’altres enumerats específicament a l’Annex III del RIA (identificació biomètrica, reconeixement d’emocions, relacionats amb l’educació i formació professional, entre d’altres). Els sistemes d’Alt Risc són els que tenen la càrrega regulatòria més elevada, i les obligacions, entre d’altres, es concreten en (i) la implementació d’un Sistema de Gestió de Riscos; (ii) la implementació d’un Sistema de governança de dades (per assegurar bones pràctiques en la recol·lecció i evitar biaixos, entre d’altres); (iii) Obligacions de transparència (documentació tècnica actualitzada o instruccions d’ús); (iv) Registre d’activitat del sistema (registre dels “logs” per detectar situacions de risc); (v) Supervisió humana (per minimitzar els riscos a la salut, seguretat i drets fonamentals); i (vi) Assegurar que el sistema compleix en ciberseguretat, precisió i robustesa.
- “Risc limitat”: sistemes d’IA amb un impacte limitat en les persones o en els seus drets fonamentals, subjectes a un règim de transparència que té com a objectiu que el ciutadà tingui coneixement en tot moment que està interactuant, o un determinat contingut és resultat de un sistema d’IA. Ens referim als coneguts chatbots com ara Chat-GPT, Gemini, etc. i altres sistemes de IA que tenen capacitat de manipulació d’imatges, vídeos, so, entre d’altres.A aquests sistemes se’ls exigirà un nivell de transparència més gran, exigint que les imatges, vídeos o sons que produeixen continguin un indicatiu que és producte d’un sistema d’IA, o en els casos dels chatbots un avís que indiqui que no s?està interactuant amb un humà.
- “Risc Baix”: Sistemes d’IA amb un impacte baix en la seguretat de les persones o els seus drets fonamentals. Es poden desenvolupar, comercialitzar i utilitzar d’acord amb la legislació vigent, sense obligacions addicionals. De tota manera, els proveïdors podran aplicar els requisits de la llei i adherir-se a Codis de Conducta de forma totalment voluntària. Ens referim, per exemple, a Sistemes d’IA com els incorporats als sistemes de correu electrònic per classificar els nostres correus (Spam, Promocions, Social, etc) o videojocs que incorporin la IA per a un millor funcionament, entre d’altres.
En aquest nou i important context normatiu, com Font us pot ajudar en el compliment i l’adaptació a les noves obligacions previstes al RIA?
- En primer lloc, a través d’una auditoria dels sistemes d’IA utilitzats (o que es vulguin utilitzar) a tota l’organització ja que el RIA conté obligacions específiques i diferents en funció de si l’entitat té la condició de desenvolupador, proveïdor, importador o si simplement es fa servir el sistema d’IA.
- Posteriorment, depurar tots els sistemes que el RIA estableix com de “risc inadmissible” i que, en conseqüència, estan prohibits, ja que aquesta obligació serà plenament aplicable només 6 mesos després de l’aplicació del RIA.
- Constituir un Comitè de la IA, si pot ser en el marc de l’Àrea o Comitè de Compliance o d’Ètica, per poder supervisar, analitzar i implementar correctament totes les obligacions exigides pel RIA, i per ajudar de manera continuada en la seva actualització posterior.
- Finalment, sensibilitzar el personal en la utilització de la IA al si de l’organització i, especialment, a tots els departaments relacionats amb l’ús de les tecnologies, el compliment normatiu i el procés productiu de l’empresa.
Cal assenyalar que el RIA entrarà en vigor 20 dies després de la seva publicació al DOUE, i serà plenament aplicable 24 mesos després de la seva entrada en vigor amb una aplicació esglaonada per a les diferents obligacions.
Per això, encara que hi hagi marge de temps per adaptar una organització al RIA, entenem que és urgent començar a dur a terme les accions referides anteriorment, a causa de la seva complexitat especial.
En aquest sentit, cal recordar que les sancions per l’incompliment del RIA podran assolir, en el pitjor dels casos, fins a 35 milions d’euros o el 7% del volum de negoci global de l’exercici anterior.
Contacta amb nosaltres per a saber-ne més.
